工具:overlay最終版
win hex或hex workshop
首先我們查一下殼
發現是乙個北斗的殼,並且帶有附加資料
我們用od開啟除錯程式
上來就發現了pushad和pushfd,那我們直接使用esp定律法,先單步,然後在暫存器視窗中右鍵資料視窗跟隨,然後再資料視窗中下斷點,然後執行
然後直接就可以跳轉到oep,這裡我們選擇用od脫殼,右鍵選擇用od多可除錯程序
我們把進度條拖到最後,然後一直向上找,直到發現一塊全0的區域
然後把後面所有的資料複製,開啟我們脫完殼之後的程式,拖到最後,我們把資料貼上過去
然後儲存就可以了,我們可以再查一下殼
發現比剛脫完之後的程式多了乙個overlay,這裡就表明我們的資料附加成功
當然我們有別的方法可以找到全為0的區域,我們用lordpe開啟要脫殼的程式
ximo脫殼4 手脫FSG殼
基礎脫殼教程4 手脫fsg殼 fsg 2.0 bart xt 重點為修復 手動 查詢iat 一 單步跟蹤法 單步跟蹤就是和之前一樣的套路,直接單步向下,遇到向上跳轉直接用f4跳過就可以了,主要是在單步的時候注意一些跳轉,可能跳轉到的地方就是程式的oep 也有可能跳轉到oep的指令會被略過,所以要仔細...
ximo脫殼1 手脫UPX殼
ximo脫殼之基礎教程第一課 手脫upx殼 upx殼為一種簡單的壓縮殼 除錯工具為peid和od 手脫upx有四種方式找到oep 第一種 單步跟蹤 第二種 esp定址 第三種 2次記憶體映象法 第四種 一次直達法 首先,開啟od,將示例程式 開啟該檔案之後,我們進行單步跟蹤 圖中標出的即為單步跟蹤的...
Xposed反射大師脫殼教程
以此來記錄我第一次脫殼成功.準備工具 xposed框架 1.開啟反射大師,選擇需要hook的軟體,然後選擇開啟.2.點選當前activity,點選函式,再點選undeclare,找到getclass點執行.3.再點選函式,再點選undeclare,找到getdex,點執行.4.再點選函式,再點選un...